24 февраля 2016 в 17:35

Основы обработки персональных данных

• Блог компании Зарцын и партнеры ,
• Законодательство в IT ,
• Патентование

Мы уже начинали говорить о персональных данных, их сборе и обработке. Но, об этом можно говорить бесконечно и мы продолжим. В прошлый раз мы говорили об изменениях в законе, но не учли самого главного - САМ ЗАКОН ВЫ НЕ ЧИТАЛИ!.. И, судя по обратной связи, информация требует более детальной проработки.
Поэтому мы несколько раз перечитали все законы и дополнения к ним. Сделали из него эдакую выжимку. Четко по пунктам расписав основные его нормы и требования.

Основы основ

«Обработка персональных данных базируется на принципах законности и справедливости» - гласит ФЗ-152 «О персональных данных». Из этих понятиях зиждятся остальные принципы, отражающие суть обработки персональных данных как процесса. И вот что вам необходимо запомнить:

1. Обработка персональных данных должна отвечать целям сбора персональных данных;
Это значит, что Субъект обработки ПДн (покупатель, клиент, работник и т.д.) должен быть уведомлен о целях обработки. Поэтому цели должны быть отражены в форме письменного согласия на обработку персональных данных.

2. Не должны объединяться базы данных, содержащих персональные данные, обработка которых осуществляется в несовместимых между собой целях;
Тут все очевидно: не должны быть объединены базы персональных данных, содержащие, например, фискальную информацию о работниках компании, и базы персональных данных клиентов компании.

3. Обрабатываемый объем персональных данных не должен быть избыточным по отношению к целям их обработки;
Получается, что интернет-магазин продающий носки может обрабатывать персональные данные покупателей, которые могут содержать информацию о предпочтениях, о маркетинговой активности, но персональные данные покупателя, говорящие о наличии у него, скажем, заболеваний, будут явно избыточными.

4. При обработке персональных данных должны быть обеспечены их точность, достаточность и актуальность по отношению к целям обработки;
Это необходимо в первую очередь для качественного и своевременного выполнения какого-либо юридически значимого действия, при котором используются персональные данные. Например, для непосредственной покупки товара.

5. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. То есть если интернет-магазин закрывается, то базу персональных данных его покупателей нельзя оставлять «врагам», необходимо ее хотябы обезличить.

Этапы работы с персональными данными

1. Сбор
При сборе персональных данных с посетителей сайта мы рекомендуем в любом случае указывать:

• наименование оператора;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные законом права субъекта персональных данных;
• источник получения персональных данных.

Кроме того, по запросу гражданина оператор по обработке персональных должен предоставить:

• Подтверждение факта обработки персональных данных оператором;
• Наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• Сроки обработки персональных данных;
• Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

2. Хранение
Хранение и запись, систематизация, накопление, уточнение, должны осуществляться на территории РФ – это уже все знают. Хранение персональных данных может осуществляться в любой форме, в том числе бумажной.
Обработка персональных данных может осуществляться за границей, если база данных в РФ содержит равный или больший объем персональных данных.

3. Использование
Помните! Действия, совершаемые с собранными персональными данными должны осуществляться строго согласно целям, для которых они были предоставлены.
То есть, если данные собраны при покупке носков в интернет магазине «А», то и использоваться они должны только для продаж магазина «А», которому эти данные оставили. Если эти данные использовать для продажи квартир на другом ресурсе, то это уже будет считаться неправомерным использованием персональных данных.

4. Блокирование
Если субъект обнаружил что его данные используют неправомерно и обратился к вам с претензией (или его представитель/ соответствующий орган), то вы обязаны блокировать его персональные данные и проверить правомерность их использования. Если данные эти обрабатывает подрядчик, то вы обязаны сделать все для блокировки и проверки данных обратившегося.
Все тоже самое вы обязаны провернуть в том случае, если субъект обнаружил неточности в своих данных.
Блокировка должна осуществляться с момента такого обращения или получения запроса на время проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5. Уничтожение
А вот уничтожить данные или обеспечить прекращение использования вы обязаны в случае отзыва согласия. Также, если сохранение персональных данных более не требуется для целей обработки персональных данных.
Произвести все это необходимо в срок не более тридцати дней с даты поступления отзыва, если иное не предусмотрено договором.

Напомним, что нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах влечет предупреждение или наложение административного штрафа:

• на граждан в размере от трехсот до пятисот рублей;
• на должностных лиц - от пятисот до одной тысячи рублей;
• на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Суммы сами по себе небольшие, но сам факт привлечения внимания надзорных органов может повлечь гораздо более серьезные проблемы.

БОНУС

Трансграничная передача данных возможна, ее никто не запрещал.
НО, вы обязаны

• хранить и актуализировать все данные на серверах в РФ (первичная БД)
• указать в «Соглашении на обработку ПДн» то, что вы планируете передавать эти данные в другую страну и для каких конкретных целей (писать ли конкретную страну в законе не указано)

Ответственность за использование переданных данных несет тот Оператор, которому переданы эти базы данных.

Предоставление удаленного доступа к базам данных, находящихся на территории РФ, с территории другого государства ФЗ-242 не запрещается.

На этом все, коллеги. Да прибудет с вами милость Эру!

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, признается персональными данными (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон № 152-ФЗ).

К персональным данным относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия, доходы и другая информация о конкретном человеке. Размер заработной платы, выплачиваемой работнику, относится к его персональным данным (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681).

Круг сведений о заработной плате

Понятие « » включает в себя не только должностной оклад или тарифную ставку работника, но и положенные ему выплаты компенсационного и стимулирующего характера (надбавки, доплаты, премии) (ч. 1 ст. 129 Трудового кодекса РФ).

Доступ к персональным данным

Персональные данные относятся к информации, доступ к которой ограничен (ст. 2, 3, 5 и 6 Закона № 152-ФЗ).

В каких случаях персональные данные можно сообщить третьему лицу

Персональные данные предоставляют третьим лицам, когда необходимо предотвратить угрозу жизни и здоровью работника и в других ситуациях, установленных Трудовым кодексом или иными федеральными законами (ст. 88 ТК РФ, ст. 7 Закона № 152- ФЗ).

В каких случаях персональные данные нельзя передать третьему лицу

В пункте 4 разъяснений от 14.12.2012 специалисты Роскомнадзора разобрали несколько ситуаций, когда нельзя предоставлять персональные сведения о работнике.

Так, нельзя передавать данные о работнике, если:

С запросом обратился человек или организация, не уполномоченные федеральным законом на получение таких сведений. Например, запросивший персональные данные не является государственным инспектором труда, прокурором, сотрудником правоохранительных органов или органов безопасности и т. п.;

Нет письменного согласия работника на предоставление сведений о нем лицу, обратившемуся с запросом. Если сотрудник не дал согласие на передачу персональных сведений никому из родственников, работодатель или его представитель не вправе передавать персональные данные работника его жене.

Требование супруги предоставить ей сведения о зарплате мужа также не является основанием для предоставления персональных сведений без согласия работника. Что подтверждают и специалисты Роскомнадзора в письме от 07.02.2014 № 08КМ-3681.

Защита персональных данных и ответственность за их разглашение

В законодательстве установлены различные виды ответственности за разглашение персональных данных. Работники бухгалтерии в силу своих должностных обязанностей имеют доступ к персональным данным работников компании (в частности, к сведениям об их заработной плате).

Дисциплинарная ответственность

Если персональные данные работника не сохранил в секрете компании, директор вправе сделать ему выговор или даже уволить (п. 6 ч. 1 ст. 81, ст. 90 и 192 ТК РФ).

Однако если бухгалтер решит оспорить в суде на основании пункта 6 части 1 статьи 81 Трудового кодекса за разглашение персональных данных другого работника, администрация компании должна будет доказать следующее:

Сведения, которые уволенный бухгалтер расчетной части неправомерно разгласил, относятся к персональным данным другого работника;

Они стали известны работнику в связи с исполнением им трудовых обязанностей;

Уволенный работник дал обязательство не разглашать такие сведения.

Об этом говорится в пункте 43 постановления Пленума Верховного суда РФ от 17.03.2004 № 2.

Административная ответственность

За разглашение информации о персональных данных работников на виновника может быть наложен административный штраф в размере, предусмотренном статьей 13.14 КоАП РФ, а именно от 4000 до 5000 руб.

Как корректно отказать в предоставлении сведений

В компании должен быть разработан и утвержден локальный нормативный акт, в котором регламентируется порядок обработки, хранения, использования и защиты персональных данных работников, — положение о персональных данных работников (ст. 8, п. 7 и 8 ст. 86, ст. 87 и 88 ТК РФ).

В нем, в частности, необходимо прописать порядок передачи персональных данных работников третьим лицам.

Запрос в письменной форме

В положении о персональных данных работников целесообразно установить, что компания рассматривает только письменные запросы о предоставлении персональных данных, поскольку при устном обращении сложно идентифицировать лицо, которое обращается с запросом о предоставлении персональных данных работника. Образец запроса смотрите ниже.

Письменное согласие работника

В отдельном пункте положения о персональных данных работников следует указать, что информация может быть предоставлена родственникам или членам семьи только с письменного согласия самого работника (за исключением случаев, предусмотренных законодательством).

Обратите внимание: работник сам вправе определить, какому лицу (организации) он готов предоставить свои персональные данные. Необязательно, что в перечень этих лиц попадет супруга работника. Образец письменного согласия работника на предоставление его персональных данных смотрите ниже.

Уведомление об отказе

В положении о персональных данных также стоит описать порядок действий уполномоченных представителей компании, если в силу нормы закона на запрос не может быть дан положительный ответ. В этом случае обратившемуся лицу бухгалтер выдает письменное уведомление об отказе в предоставлении персональных данных работника.

В уведомлении можно будет сослаться на статью 88 Трудового кодекса и соответствующий пункт внутреннего положения о персональных данных работников. Образец уведомления смотрите ниже.

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Когда оператор должен уведомлять власти об осуществлении обработки персональных данных?

Какие ведомства вправе проводить проверки операторов персональных данных?

Могут ли адвокаты, прокуроры, судебные приставы получать персональные данные?

Какова ответственность за нарушение закона о защите персональных данных?

Правовую основу регулирования отношений в сфере персональных данных составляет Федеральный закон от 27 сентября 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) и принятые в соответствии с ним иные нормативные правовые акты. Действие законодательства о персональных данных распространяется на все государственные и муниципальные органы, юридические и физические лица, включая индивидуальных предпринимателей.

Персональные данные – любая информация, относящаяся прямо или косвенно к физлицу (субъекту персональных данных). Сюда, в частности, относятся фамилия, имя, отчество субъекта, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другие данные.

Любые действия или операции с персональными данными называются обработкой персональных данных. К таким действиям относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Все эти действия могут совершаться с помощью средств автоматизации или без использования таковых.

Юридические и физические лица (в том числе индивидуальные предприниматели), государственные и муниципальные ведомства, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, называются операторами персональных данных (ст. 3 Закона № 152-ФЗ).

Наша справка

Конституцией установлено: каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (статьи 23 и 24)

Нанимая сотрудников, индивидуальный предприниматель получает персональные данные физлиц. Но, помимо сведений о работниках, в ходе деятельности ИП получает информацию о партнерах, клиентах. Все эти данные тоже подпадают под действие Закона №152-ФЗ. В частности, необходимость соблюдения мер по защите персональных данных относится к туроператорам, гостиницам, продавцам, реализующим свои товары дистанционным способом, которые при заключении договора запрашивают у потребителя информацию о его персональных данных (ст. 19 Закона № 152-ФЗ, п. 16 Правил продажи товаров дистанционным способом, утвержденных постановлением Правительства РФ от 27 сентября 2007 г. № 612), общественным, политическим и религиозным организациям, которые при приеме в свои ряды новых членов запрашивают их персональные данные, к операторам телефонных и интернет-услуг.

Обязанности оператора персональных данных

До начала обработки персональных данных оператор обязан направить уведомление в территориальное отделение Роскомнадзора по месту своего нахождения. Форма бланка и рекомендации по его заполнению утверждены приказом Роскомнадзора от 16 июля 2010 г. № 482.

В статье 22 Закона № 152-ФЗ приведен закрытый перечень случаев, когда направлять уведомление не нужно (таблица 1).

Таблица 1

Случаи, когда оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора

	Случай
	Персональные данные обрабатываются в соответствии с трудовым законодательством
	Персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных
	Субъект персональных данных сделал данные общедоступными
	Персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных
	Персональные данные необходимы в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях
	Персональные данные включены: – в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем; – в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка
	Персональные данные обрабатываются без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных
	Персональные данные обрабатываются в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства
	Персональные данные относятся к членам (участникам) общественного объединения или религиозной организации и обрабатываются соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных

Оператор обязан принимать меры по защите персональных данных, но при этом перечень таких мер он вправе определять самостоятельно. К ним, в частности, отнесены следующие меры: назначение ответственного лица, издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением, ознакомление своих работников с действующими нормативами в области защиты персональных данных и своими внутренними правилами. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных (ст. 18.1 Закона № 152-ФЗ).

Оператор персональных данных обязан в течение 30 дней предоставить информацию о наличии у него персональных данных и предоставить возможность ознакомления с ними субъекту персональных данных, а также Роскомнадзору и его территориальным органам по соответствующим запросам (п. 1 и 4 ст. 20 Закона № 152-ФЗ).

Контроль за обработкой персональных данных

Контроль и надзор за обработкой персональных данных осуществляют несколько ведомств. Роскомнадзор в целом контролирует обработку персональных данных в соответствии с требованиями законодательства. Кроме того, ведомство ведет реестр операторов, осуществляющих обработку персональных данных.

Федеральная служба по техническому и экспортному контролю (ФСТЭК) осуществляет надзор за техническими средствами обработки персональных данных за исключением криптографических средств. Кроме того, полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах наделена ФСБ РФ. Надзорными полномочиями в сфере персональных данных обладает прокуратура в силу статьи 1 Федерального закона «О прокуратуре РФ» от 17 января 1992 г. № 2202-1.

Требования и распоряжения ведомств, не уполномоченных осуществлять контроль и надзор в сфере защиты персональных данных, являются неправомерными. Федеральный арбитражный суд Северо-Кавказского округа в постановлении от 22 июля 2011 г. № А32-26161/2008 отметил, что налоговая инспекция, направив компании требование об отключении от системы электронного документооборота из-за нарушений законодательства о персональных данных, нарушила право фирмы на свободу предпринимательской деятельности. Инспекторы, допустив излишний административный контроль, вышли за пределы своей компетенции.

Согласие на обработку персональных данных

Обработка персональных данных осуществляется оператором с согласия субъекта персональных данных, за исключением отдельных случаев, которые рассмотрим позже.

Субъект персональных данных предоставляет информацию и дает свое согласие на ее обработку руководствуясь исключительно своей волей и своими интересами. Кстати, дать согласие на обработку персональных данных может и представитель субъекта персональных данных, но в этом случае обязательно должен быть документ, подтверждающий полномочия данного представителя давать согласие от имени субъекта (доверенность).

Согласие должно быть конкретным, информированным и сознательным, выражаться прямо, а не быть предположением. Так, в одном судебном деле оператор услуг телефонной связи был привлечен к административной ответственности за то, что в типовом договоре на оказание услуг междугородной и международной телефонной связи был определен только порядок предоставления данных услуг, но отсутствовало непосредственное указание о согласии или отказе абонента на доступ к указанным услугам и на предоставление сведений о нем третьим лицам (постановление Федерального арбитражного суда Северо-Западного округа от 13 мая 2009 г. № А66-17/2009).

Согласие дается в письменной форме и должно включать в себя определенные сведения, установленные статьей 9 Закона № 152-ФЗ (таблица 2).

Равнозначным согласию, содержащему собственноручную подпись субъекта, признается согласие, которое дано в форме электронного документа, подписанного электронной подписью (п. 4 ст. 9 Закона № 152-ФЗ).

Обязанность предоставить доказательства согласия субъекта персональных данных на их обработку возлагается на оператора.

Таблица 2

Сведения, которые должны содержаться в согласии субъекта персональных данных на обработку информации

	Сведения
	Фамилия, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе
	Фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных)
	Наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных
	Цель обработки персональных данных
	Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
	Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу
	Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных
	Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом
	Подпись субъекта персональных данных

В некоторых случаях, названных в статье 6 Закона № 152-ФЗ, получать согласие от субъекта персональных данных необязательно (таблица 3).

Согласие субъекта персональных данных на их обработку не обязательно, если она осуществляется в рамках исполнения заключенного с ним договора. Так, суд отклонил довод истца о нарушении его прав на защиту персональных данных из-за звонка на его личный телефон со стороны ответчика, действующего по поручению кредитора истца. Истец не погасил задолженность перед кредитором, и тот поручил взыскание задолженности третьему лицу, сообщив персональные данные должника. Суд отметил, что в данном случае специально выраженного согласия не требуется (кассационное определение Омского областного суда от 10 ноября 2010 г. № 33-7056/2010). В постановлении Федерального арбитражного суда Восточно-Сибирского округа от 12 мая 2011 г. № А33-10809/2010 отмечено, что предоставление управляющей компанией физическим лицам, проживающим в обслуживаемых домах, платежных документов с указанием в них персональных данных последних, является частью деятельности последней в рамках принятых на себя обязательств по управлению жилыми домами.

Еще один случай – клиенты заказывают товары, работы или услуги, заполняя анкету на сайте в электронном виде, содержащей сведения о персональных данных. Отдельное согласие на обработку данных не потребуется. Отправляя свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выражают свое согласие на передачу своих персональных данных, то есть при обработке персональных данных письменное согласие считается полученным (постановление Федерального арбитражного суда Северо-Западного округа от 13 декабря 2010 г. № А56-73636/2009).

Согласие субъекта на обработку персональных данных в государственных информационных реестрах не требуется, если он первоначально сам направил туда сведения о себе. Федеральный арбитражный суд Московского округа в постановлении от 9 ноября 2007 г. № КГ-А40/11450-07 отметил, что, становясь акционером общества, сведения о котором содержатся в ЕГРЮЛ, лицо тем самым выражает свое согласие на использование его персональных данных в ЕГРЮЛ.

Некоторые сведения не относятся к информации, подпадающей под действие закона о защите персональных данных. Например, не является конфиденциальной информацией сведения о том, что гражданин не оплачивает коммунальные услуги. Подобная информация не относится к частной жизни этого лица и не является тайной, которую лицо, обладающее этой информацией, не вправе разглашать в силу своих профессиональных обязанностей (кассационное определение Пермского краевого суда от 5 октября 2010 г. № 33-8722). Кроме того, наличие персональных данных в материалах надзорного производства прокуратуры не является их обработкой, в связи с чем действия прокуратуры не могут быть признаны незаконными (кассационное определение Санкт-Петербургского городского суда от 8 декабря 2010 г. № 33-16601).

Таблица 3

Случаи обработки персональных данных, когда получать согласие субъекта персональных данных необязательно

	Обработка персональных данных:
	необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей
	необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве
	необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг
	необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем
	необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно
	необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных
	необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных
	осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона № 152-ФЗ, при условии обязательного обезличивания персональных данных
	осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе
	осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом

Назовем еще несколько ситуаций по вопросу предоставления персональных данных на основе судебной практики.

Предоставление персональных данных без согласия субъекта допускается арбитражному управляющему. Он в силу статей 66 и 67 Федерального закона о банкротстве от 26 октября 2002 г. № 127-ФЗ вправе получать любую информацию и документы, касающиеся деятельности должника (постановление Федерального арбитражного суда Западно-Сибирского округа от 1 сентября 2010 г. № А70-13989/2009).

Не допускается представление персональных данных миграционной службой военному комиссару. Действия миграционной службы в части исполнения законодательства о воинской обязанности и военной службе носят самостоятельный характер и не предусматривают предоставление информации по лицам, уклоняющимся от воинской службы (решение Первореченского районного суда г. Владивостока от 26 января 2011 г. № 2-287/11).

Персональные данные не могут предоставляться Федеральной антимонопольной службе и Федеральной службе по финансовым рынкам. Данным ведомствам не предоставлено право запрашивать информацию о персональных данных (постановления Федерального арбитражного суда Уральского округа от 18 мая 2011 г. № Ф09-2525/11-С1, Федерального арбитражного суда Московского округа от 5 августа 2010 г. № КА-А40/8263-10).

Адвокаты не имеют права запрашивать у ведомств персональные сведения. Право адвоката собирать сведения, необходимые для оказания юридической помощи, и обязанность соответствующего органа ему такую информацию предоставить, не распространяется на установленные законом конфиденциальные сведения. Причем, непредставление адвокату конфиденциальной информации не препятствует реализации адвокатом права на оказание квалифицированной юридической помощи (постановление Федерального арбитражного суда Восточно-Сибирского округа от 18 декабря 2008 г. № А58-558/08-Ф02-6318/08, Определение Московского городского суда от 8 ноября 2010 г. № 33-31358).

Отдельного рассмотрения заслуживает вопрос о предоставлении персональных данных судебным приставам.

Предоставление персональных данных судебным приставам

До определенного времени суды единодушно указывали, что судебные приставы не имеют права на получение персональных данных. Арбитры исходили из следующего.

Согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора. Ни законом об исполнительном производстве (Федеральный закон от 2 октября 2007 г. № 229-ФЗ), ни законом о судебных приставах (Федеральный закон от 21 июля 1997 г. № 118-ФЗ) названные необходимые условия обработки персональных данных не установлены. В частности, названные законы не содержат перечень субъектов, персональные данные которых подлежат обработке. Соответственно, для предоставления персональных данных третьему лицу, оператору персональных данных необходимо письменное согласие субъекта (постановление Федерального арбитражного суда Поволжского округа от 19 июля 2011 № А12-23512/2010).

Федеральный закон от 25 июля 2011 г. № 261-ФЗ внес изменения в Закон № 152-ФЗ. В частности, статья 6 данного закона предусматривает обработку персональных данных для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством об исполнительном производстве. И согласие субъекта в этих ситуациях не требуется.

Положения Федерального закона от 27 июля 2010 г. № 213-ФЗ о внесении изменений в закон о судебных приставах и статью 64 закона об исполнительном производстве предусматривают, что судебный пристав получает и обрабатывает персональные данные при условии, что они необходимы для своевременного, полного и правильного исполнения исполнительных документов, в объеме, необходимом для этого. Полученные судебным приставом-исполнителем в ходе принудительного исполнения судебных актов, актов других органов или должностных лиц персональные данные обрабатываются им исключительно в целях исполнения исполнительных документов в необходимом для этого объеме с учетом требований, установленных Законом о персональных данных.

Таким образом, в настоящее время закон предоставляет судебным приставам право запрашивать персональные данные у операторов и обрабатывать их, при этом судебный пристав в своем запросе должен указать, каким образом запрашиваемая им информация способствует выполнению исполнительных документов.

Смерть субъекта персональных данных

В случае смерти субъекта персональных данных, согласие на обработку его данных дают наследники, если такое согласие не было дано субъектом при его жизни (п. 7 ст. 9 Закона № 152-ФЗ). К форме и содержанию такого согласия применяются общие правила, установленные для согласия субъекта. При несоблюдении данного требования персональные данные не могут быть предоставлены. Так, организация приняла на себя обязательство изготовить из собственных материалов, доставить и установить, а заказчики (граждане, принявшие на себя обязанность увековечить память погибших) обязались принять надгробные памятники погибшим военнослужащим и ветеранам ВОВ. Организация обратилась в Пенсионный фонд за справкой о военнослужащих, подтверждающих их принадлежность к инвалидам ВОВ, и, получив отказ, обратилась в суд. Отказывая в удовлетворении требований организации, Федеральный арбитражный суд Волго-Вятского округа указал, что у фирмы отсутствовали законные основания для получения персональных данных (постановление от 27 февраля 2009 г. № А38-1119/2008-4-104). В другом деле суд признал неправомерными действия информационного агентства по распространению информации о самоубийстве несовершеннолетней девочки и ее персональных данных без согласия родных. Суд отклонил доводы агентства о том, что согласие не требовалось, поскольку правоспособность и представительство гражданина прекращены с момента его смерти, указав на необходимость обеспечения охраны личных прав гражданина и после его смерти (постановление Федерального арбитражного суда Восточно-Сибирского округа от 1 июля 2008 г. № А33-14182/07-Ф02-2899/08).

Ответственность за нарушение закона о персональных данных

За нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) предусмотрена ответственность в виде предупреждения или штрафа. Штрафы устанавливается в следующих размерах: для граждан от 300 до 500 руб.; для должностных лиц – от 500 до 1000 руб.; для юридических лиц – от 5 тыс. до 10 тыс. руб. (ст. 13.11 КоАП РФ).

Кроме того, сам субъект персональных данных, которому незаконными действиями оператора персональных данных, связанными с их распространением, причинен вред, вправе потребовать компенсации морального вреда или полного возмещения убытков (ст. 11, 12, 15, 152, гл. 59 ГК РФ).

Федеральным законом от 07.02.2016 № 13-ФЗ (далее – Закон № 13-ФЗ) ужесточена административная ответственность за нарушение законодательства о защите персональных данных и дифференцирован состав административных правонарушений . С 1 июля 2017 года ответственность за несоблюдение правил о персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ (далее – Закон № 152-ФЗ), повысится в разы.

Максимальный размер штрафа для юридических лиц составит 75 тыс. руб. (сейчас – 10 тыс. руб.). Очевидно, работодателям, до сих пор не уделяющим должного внимания правилам обработки персональных данных, необходимо на этом сосредоточиться. В противном случае неосмотрительность может обернуться для них существенными финансовыми потерями

Новые административные штрафы.

Законом № 13-ФЗ заново переписаны положения ст. 13.11 КоАП РФ. Новой редакцией уточнены составы административных правонарушений по законодательству о персональных данных и увеличены размеры штрафов.

	Состав административного правонарушения	Размер штрафа,
	Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч. 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния	Для ДЛ – от 5 до 10, для ЮЛ – от 30 до 50.
	Обработка персональных данных без согласия в письменной форме их субъекта на обработку его данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных*	Для ДЛ – от 10 до 20, для ЮЛ – от 15 до 75
	Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных	Для ДЛ – от 3 до 6, для ИП – от 5 до 10, для ЮЛ – от 15 до 30. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных	Для ДЛ – от 4 до 6, для ИП – от 10 до 15, для ЮЛ – от 20 до 40. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав этих субъектов об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки	Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 45. Вместо штрафа может быть сделано предупреждение
	Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния	Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 50

* Указанный штраф налагается за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа 15 – 75 тыс. руб. в итоге может вырасти до весьма внушительных размеров.

Полномочия по возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ). Но рассматривать эти дела по-прежнему будут суды (ч. 1 ст. 23.1 КоАП РФ).

К сведению:

Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Ведь положениями гл. 14 ТК РФ (наравне с Законом № 152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Прежде чем рассматривать вопрос о том, как работодателю избежать штрафов, поясним, что понимается под персональными данными, обработкой персональных данных и оператором.

Персональные данные.

Персональные данные – это информация, прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу) (ч. 1 ст. 3 Закона № 152-ФЗ). То есть она позволяет однозначно определить, о каком именно лице идет речь.

Каких-либо конкретных указаний о том, какие сведения считать персональными данными, в действующем законодательстве не содержится (их нет ни в Законе № 152-ФЗ, ни в гл. 14 ТК РФ). В нем закреплены лишь общие принципы. По сути, рассматриваемое понятие является оценочным, что дает определенный простор при квалификации тех или иных сведений о физическом лице в качестве персональных данных. Очевидно, что таковыми следует считать прежде всего сведения, на основании которых возможна безошибочная идентификация субъекта персональных данных. Такие сведения сотрудник, как правило, сообщает сам при приеме на работу. Персональные сведения могут быть получены и от третьей стороны, правда, с письменного согласия сотрудника (ч. 3 ст. 86 ТК РФ). В свою очередь, обезличенные сведения не могут быть отнесены к категории персональных данных.

• фамилия, имя, отчество;
• дата и место рождения;
• адрес (место регистрации);
• семейное, социальное и имущественное положение;
• образование, профессия;
• доходы, имущество и имущественные обязательства.

Это общие персональные данные. Помимо них, в Законе № 152-ФЗ упоминаются:

• специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение – случаи, предусмотренные ч. 2 ст. 10 названного закона;
• биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение – случаи, установленные ч. 2 ст. 11.

К сведению:

Персональные данные работников, как правило, содержатся в следующих документах:

• в паспорте или ином документе, удостоверяющем личность;
• в трудовой книжке;
• в документах о воинском учете, образовании, составе семьи;
• в справке о доходах с предыдущего места работы;
• в анкете, заполняемой при трудоустройстве;
• в личной карточке работника (форма Т-2);
• в свидетельствах о заключении брака, рождении ребенка;
• в медицинских справках; и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных.

Под обработкой персональных данных понимается любое действие (или совокупность действий), совершаемое с ними (с использованием средств автоматизации или без использования таковых). Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ч. 3 ст. 3 Закона № 152-ФЗ).

Цели обработки персональных данных определены ч. 1 ст. 86 ТК РФ, а ее основные принципы – ст. 5 Закона № 152-ФЗ.

* Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливает каждый работодатель самостоятельно с соблюдением требований Трудового кодекса и иных федеральных законов (включая Закон № 152-ФЗ).

Важный нюанс: законодательством не определены требования к объему персональных данных, которые оператор (работодатель) может обрабатывать с согласия (или без) их субъекта. Следовательно, стороны вправе установить объем получаемых и обрабатываемых сведений самостоятельно. При этом нужно учесть, что требования закона к порядку получения согласия на обработку сведений и к самому порядку их обработки различаются в зависимости от вида (разряда) персональных данных.

Оператор.

Оператор – лицо, которое организует и осуществляет обработку персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ).

Под приведенное определение подпадает любой работодатель (юридическое лицо или индивидуальный предприниматель), получивший персональные данные работника в свое распоряжение. Значит, с этого момента на него в соответствии с требованиями Закона № 152-ФЗ возлагаются обязанности по защите и обеспечению сохранности персональных данных работников.

Причем в соответствии с ч. 1 ст. 18.1 Закона № 152-ФЗ каждый оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законом. Одной из этих мер является издание оператором локального нормативного акта, устанавливающего порядок обработки персональных данных работников в организации. Этого же от оператора требуют ст. 86 и 87 ТК РФ. В локальном акте (обычно он именуется Положением о персональных данных) определяются права и обязанности как субъекта персональных данных, так и оператора.

Подчеркнем: наличие обозначенного документа у работодателя обязательно. За его отсутствие специалисты Роскомнадзора могут оштрафовать оператора (и его должностных лиц) на основании ч. 3 ст. 13.11 КоАП РФ.

Требования к оформлению положения о персональных данных.

При составлении Положения о персональных данных необходимо учесть требования о получении, обработке, хранении и использовании персональных данных работников, установленные Законом № 152-ФЗ и гл. 14 ТК РФ . Исходя из названных нормативных актов, в положении о Персональных данных надо указать:

• перечень сведений, относимых к категории персональных данных;
• какие документы, содержащие персональные данные работников, оператор будет представлять в различные госструктуры (внебюджетные фонды, налоговую, трудовую инспекции, органы статистики и т. д.);
• перечень должностных лиц, наделенных полномочиями по обработке, хранению и использованию персональных данных и, соответственно, несущих ответственность за нарушение требований законодательства;
• кто и в каком порядке имеет доступ к полученным персональным данным;
• меры, направленные на сохранение и неразглашение персональных данных, а также порядок их передачи (внутри организации и третьим лицам);
• порядок предоставления субъекту персональных данных информации, касающейся обработки его данных;
• процедуру уточнения персональных данных работников, их блокировку и уничтожение;
• условия и порядок хранения персональных данных сотрудников.

Важный нюанс: работодателю следует учесть требование ч. 8 ст. 86 ТК РФ, где сказано, что работники и их представители должны быть под роспись ознакомлены с Положением о персональных данных. Оператор в целях выполнения обозначенного требования может, например, оформить соответствующий журнал, в котором работники будут расписываться, подтверждая факт ознакомления. Но есть и иные способы ознакомления под роспись, например отражение данного факта в трудовом договоре.

Итак, положение о персональных данных – это, пожалуй, главный документ, наличие которого необходимо в силу законодательства. Его отсутствие может стать основанием для наложения штрафа по ч. 3 и 4 ст. 13.11 КоАП РФ. Но это не единственный документ, который оператор должен оформить для надлежащего исполнения требований закона.

Согласие на обработку и передачу персональных данных.

В части 1 ст. 9 Закона № 152-ФЗ говорится, что согласие должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных (или его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом № 152-ФЗ. Прямо о том, что согласие сотрудника на обработку персональных данных должно быть оформлено письменно, в названном законе не сказано.

Но! Частью 2 ст. 13.11 КоАП РФ определена ответственность оператора и его должностных лиц за обработку персональных данных:

• без согласия в письменной форме субъекта персональных данных на обработку его данных в случаях, когда такое согласие должно быть получено по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния;
• либо с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных.

Получается, когда действующее законодательство в области персональных данных требует получения согласия от субъекта этих данных, это согласие должно быть оформлено письменно (произвольно, так как единый бланк законодательством не предусмотрен). Ведь при возникновении спорных ситуаций доказать факт получения согласия должен именно оператор (ч. 3 ст. 9 Закона № 152-ФЗ). И письменная форма согласия в этом случае будет весьма кстати.

С учетом сказанного работодателю-оператору имеет смысл разработать и утвердить в качестве приложения к Положению о персональных данных бланк согласия работника на обработку и передачу таких данных. Добавим, что Закон № 152-ФЗ допускает оформление согласия в форме электронного документа.

Что нужно указать в согласии?

Требования к содержанию письменного согласия для случаев, когда оно необходимо в силу закона, установлены ч. 4 ст. 9 Закона № 152-ФЗ. В этом случае согласие должно включать:

1. Ф. И. О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
2. При получении согласия от представителя работника – его Ф. И. О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
3. Наименование или Ф. И. О. и адрес работодателя.
4. Цель обработки персональных данных.
5. Перечень персональных данных, которые подлежат обработке.
6. Ф. И. О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
7. Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
8. Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
9. Подпись работника.

В иных случаях (когда законодательство не требует получение согласия сотрудника) специальных требований к содержанию согласия Законом № 152-ФЗ не установлено. Вместе с тем общее правило, предусмотренное ч. 1 ст. 9 данного закона (о конкретном, информированном и сознательном согласии), никто не отменял. Поэтому в согласии в любом случае должен быть указан конкретный объем персональных данных, цели и способы их обработки и хранения.

Когда согласие на обработку данных нужно получать, а когда – нет?

Закон № 152-ФЗ допускает обработку персональных данных сотрудников как с их согласия (п. 1 ч. 1 ст. 6), так и без него.

Здесь следует обратить внимание на Разъяснения Роскомнадзора . По мнению чиновников, обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовым законодательством (см. таблицу).

Не нужно оформлять согласие работника на обработку персональных данных, если они получены	Источник
Из документов (сведений), предъявляемых при заключении трудового договора	Статья 65, ч. 4 ст. 275 ТК РФ, п. 5 ч. 1 ст. 6 Закона № 152-ФЗ
По результатам обязательного предварительного медицинского осмотра о состоянии здоровья	Статья 69 ТК РФ, п. 3 Разъяснений Роскомнадзора
Из личной карточки или в иных случаях, установленных законодательством РФ (например, при получении алиментов, оформлении допуска к государственной тайне, оформлении социальных выплат)	Пункт 2 Разъяснений Роскомнадзора
От кадрового агентства, действующего от имени соискателя на вакантную должность	Пункт 5 Разъяснений Роскомнадзора
Из резюме соискателя, размещенного в Интернете и доступного неограниченному кругу лиц	Пункт 10 ч. 1 ст. 6 Закона № 152-ФЗ, п. 5 Разъяснений Роскомнадзора

Если персональные данные о сотруднике могут быть получены только у третьей стороны (напомним, соответствующая возможность предусмотрена ст. 86 ТК РФ), то он должен быть заранее уведомлен об этом и от него должно быть получено согласие на обработку сведений.

Согласие также необходимо, если работодатель планирует обрабатывать иные данные работника (например, контактные данные – номер сотового телефона, адрес электронной почты).

О согласии на передачу данных.

Помимо согласия на обработку данных, оператору необходимо заручиться согласием работника на их передачу третьим лицам (в том числе в коммерческих целях), что следует из абз. 2, 3 ч. 1 ст. 88 ТК РФ. В этом согласии тоже четко прописывают, какие именно операции с персональными данными совершает работодатель и какова их цель.

Обратите внимание:

Оператор должен предупредить третьих лиц о том, что персональные данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения того, что это правило соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

В ряде случаев согласие сотрудника на передачу персональных данных третьим лицам оформлять не требуется. Представим эти случаи в таблице.

Согласие не оформляется при передаче данных*	Источник
Третьим лицам в целях предупреждения угрозы жизни и здоровью работника	Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора
Во внебюджетные фонды	Абзац 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора
В налоговые органы и военные комиссариаты	Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем	Статья 370 ТК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора
По мотивированному запросу органов прокуратуры и правоохранительных органов	Абзац 7 п. 4 Разъяснений Роскомнадзора
По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности	Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора
В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом	Абзац 5 ст. 228 ТК РФ

* Члены семьи, страховые компании, кредитные учреждения, благотворительные организации, негосударственные пенсионные фонды и иные аналогичные организации в указанный перечень третьих лиц не вошли. Поэтому передать упомянутым лицам персональные данные сотрудника оператор вправе только с его письменного согласия.

«О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Текст нормативного акта напечатан в «Актах и комментариях для бухгалтера», № 3, 2017.

«О персональных данных».

См. Постановление ФАС СКО от 11.03.2014 по делу № А53-10287/2013.

Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается руководителем организации. При наличии в организации представительного органа работников (профсоюза) обозначенный документ должен приниматься с учетом требований, установленных ст. 372 ТК РФ.

«Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве». Размещены на официальном сайте ведомства www.rsoc.ru 24.12.2012.

Актуальные вопросы бухгалтерского учета и налогообложения, №3, 2017 год